Veiligheid Internetbankieren

Commentaren

Transcriptie

Veiligheid Internetbankieren
“Veiligheid
Internetbankieren”
Naam: Karl Cheung
Student: 9981242 (team 837, collegejaar 2007/2008)
Datum: 4 april 2008
Scriptie “Veiligheid internetbankieren”
April 2008
Inhoudsopgave
Inhoudsopgave ....................................................................................................................... i
Voorwoord ........................................................................................................................... iii
Hoofdstuk 1 Inleiding ..........................................................................................................1
1.1
Achtergrond onderzoek ...........................................................................................1
1.2
Onderzoeksvraag.....................................................................................................2
1.3
Aanpak van onderzoek ............................................................................................2
Hoofdstuk 2 Scope van het onderzoek .................................................................................4
2.1
Internetbankieren ....................................................................................................4
2.2
Veiligheid ...............................................................................................................5
2.3
Afbakening van het onderzoek ................................................................................6
Hoofdstuk 3 Richtlijnen voor het internetbankieren .............................................................7
3.1
ECBS richtlijnen voor veiligheidsmaatregelen [6]: ..................................................7
3.2
ECBS aanbevelingen voor de invulling veiligheidsmaatregelen: .............................8
3.3
Symmetrische versus asymmetrische algoritmes bij encryptie en decryptie .............9
3.4
Hashing.................................................................................................................12
3.5
Communication protocollen ..................................................................................12
3.6
Methode voor authenticatie van gebruikers ...........................................................13
Hoofdstuk 4 Gevaren voor het internetbankieren ...............................................................15
4.1
Fraudemethode met internetbankieren zonder toegang tot PC of server .................15
Phishing [31] ................................................................................................................15
4.2
Fraudemethode met internetbankieren via toegang tot PC of server .......................17
Pharming ......................................................................................................................17
Trojan ...........................................................................................................................19
Hoofdstuk 5 Maatregelen tegen fraude met internetbankieren ............................................20
5.1
Logische beveiligingsmaatregelen voor het internetbankieren ...............................20
Gebruikersnaam en wachtwoord ...................................................................................21
Transaction Authentication Number (TAN) ...................................................................21
PIN-pas met e-dentifier (met geheime sleutel) ...............................................................21
Smartcard met PIN .......................................................................................................22
Gepersonaliseerde calculatoren ....................................................................................23
Certificaten ...................................................................................................................23
SSL ...............................................................................................................................23
5.2
Soft controls ..........................................................................................................24
Voorlichting vanuit de branchevereniging.....................................................................24
Voorlichting vanuit de individuele banken ....................................................................24
5.3
Alternatieve veiligheidsmaatregelen [17]/[13] .......................................................25
Speciale PC’s voor de klanten van het internetbankieren ..............................................25
Speciale software voor de klanten van het internetbankieren.........................................25
Dongle / speciale smartcardreader ...............................................................................25
Bevestiging van transacties en automatische overboekingen .........................................25
Pagina i van iii
Scriptie “Veiligheid internetbankieren”
April 2008
Hoofdstuk 6 Evaluatie veiligheidsmaatregelen...................................................................26
6.1
Maatregelen in praktijk en evaluatie ......................................................................26
Hoofdstuk 7 Conclusies en aanbevelingen .........................................................................30
7.1
Conclusies.............................................................................................................30
Huidige maatregelen (antwoord op subvragen 1 en 2) ..................................................30
Alternatieve maatregelen die de banken nog niet gebruiken (antwoord op subvraag 1) .30
Punten ter beoordeling voor veiligheid (antwoord op subvraag 3) ................................30
Huidige veiligheid (antwoord op subvraag 4 en hoofdvraag) .......................................30
7.2
Aanbevelingen ......................................................................................................31
7.3
Persoonlijke reflectie.............................................................................................31
Bijlage 1 – Lijst van geïnterviewde specialisten ....................................................................32
Bijlage 2 – Minimale controleactiviteiten in RCM ................................................................32
Bijlage 3 – Literatuurlijst ......................................................................................................32
Pagina ii van iii
Scriptie “Veiligheid internetbankieren”
April 2008
Voorwoord
Voor U ligt de scriptie ter afsluiting van mijn postdoctorale studie ‘IT auditing’ aan de Vrije
Universiteit van Amsterdam. Deze studie ben ik begonnen in januari 2006. En na tweeënhalf
jaar is het dan eindelijk zover dat ik mag afstuderen.
De opleiding was een erg leuke afwisseling van mijn audit-werkzaamheden bij ING
Wholesale Banking. En het vormde een goede aanvulling op mijn eerdere studie ‘Technische
Bedrijfskunde’ aan de Technische Universiteit Eindhoven (TU/e). Zonder de opleiding aan de
VU zou ik mijn audit-werkzaamheden waarschijnlijk niet zo effectief hebben kunnen
uitvoeren.
Mijn tweede collegejaar, 2007, is een uitdagend jaar geweest, waarin persoonlijke
omstandigheden veel tijd en aandacht van mij hebben gevergd. Dat ik hierdoor toch geen
studievertraging opgelopen heb, is vooral te danken aan het geduld van mijn vrouw en de
docenten aan de VU. In het bijzonder Kees van Hoof wil ik graag via dit voorwoord bedanken
voor zijn steun en begrip.
Verder is het schrijven van een scriptie een proces dat veel tijd kost; en altijd meer dan
gepland. Hiervoor heb ik gelukkig voldoende ruimte gekregen via mijn werk. Een extra audit
die goed aansloot op mijn afstudeeronderwerp gaf mij een goede gelegenheid om me ook
voor de scriptie in te lezen. De voorbereiding van deze audit heb ik daarom goed kunnen
gebruiken als de basis voor mijn onderzoek. Daarom wil ik ook de collega’s van mijn audit
team, en in het bijzonder Linda Post, bedanken voor hun steun.
Amsterdam, april 2008.
Ir. Karl Cheung
Pagina iii van iii
Scriptie “Veiligheid internetbankieren”
Hoofdstuk 1
1.1
April 2008
Inleiding
Achtergrond onderzoek
Volgens een onderzoek dat uitgevoerd is in 2007 door Eurostat1 [1], blijkt dat Nederland het
hoogste percentage (85%) internetgebruikers heeft binnen de leeftijdscategorie van 16 jaar
tot 74 jaar. Binnen deze groep internetgebruikers blijkt dat Nederland (77%), op Finland
(84%) en Estland (83%) na, de grootste groep gebruikers heeft van het internetbankieren. Dit
betekent dat tussen de 65% en 66% van de Nederlanders binnen de leeftijdscategorie van
16 jaar tot 74 jaar gebruik maakt van het internetbankieren.
Uit ditzelfde onderzoek, dat gehouden is onder de inwoners van de 27 EU landen, blijkt ook
dat bijna een kwart van alle internetgebruikers één of meerdere virussen op hun PC hebben
gehad in de 12 maanden voorafgaand aan het onderzoek. Deze virussen hebben dataverlies
en/of tijdsverlies tot gevolg gehad.
Figuur 1 - Eurostat cijfers voor internetbankieren [1]
1
in opdracht van het Europese Parlement
Pagina 1 van 35
Scriptie “Veiligheid internetbankieren”
April 2008
Verder blijkt uit de consumentenbondgids van januari 2008 en het kwartaalbericht van DNB
van juni 2007 dat de gebruikers van het internetbankieren voldoende vertrouwen hebben in
het internetbankieren [2]. Dit vertrouwen wordt echter continue op de proef gesteld door
nieuwsberichten over fraude met internetbankieren [3]/[4].
Dit onderzoek zal zich richten op de verschillende manieren waarmee het internetbankieren
beveiligd kan worden. De onderzoeksresultaten kunnen bijdragen tot een best practice
benchmark voor de beveiliging van het internetbankieren. Op basis van deze best practice
zal dan een Risk Control Matrix (RCM) opgesteld kunnen worden, waarmee de veiligheid
van het internetbankieren op een consistente manier kan worden geaudit.
1.2
Onderzoeksvraag
Hoewel de banken hun klanten zo goed mogelijk voor de gevaren van het internetbankieren
willen beschermen, is er nog geen algemeen aanvaarde richtlijn voor het inrichten van het
internetbankieren. Vanuit het European Committee for Banking Standards (ECBS) zijn er wel
richtlijnen uitgevaardigd voor het internetbankieren. Deze richtlijnen zijn door de Nederlandse
Vereniging van Banken (NVB) overgenomen en waar nodig aangescherpt.2 Verschillende
banken binnen Europa gebruiken daarom verschillende veiligheidsmaatregelen. Maar
onduidelijk is welke maatregelen de meeste veiligheid bieden.
Het doel van dit onderzoek is om de verschillende veiligheidsmaatregelen te onderzoeken en
deze met elkaar te vergelijken.
Het onderzoek zal de volgende hoofdvraag beantwoorden:
Hoe veilig is het internetbankieren vanuit het algemene bankperspectief en hoe kunnen
de banken ervoor zorgen dat haar klanten zo goed mogelijk beschermd worden tegen
fraude?
Deze hoofdvraag kan opgesplitst worden in de volgende subvragen:
1. Welke veiligheidsmaatregelen zijn er in gebruik bij de banken om het
internetbankieren door haar klanten zo veilig mogelijk te maken? En zijn er
alternatieve maatregelen die de banken kunnen treffen om de veiligheid van haar
klanten te vergroten?
2. Welke zwakke punten kent elk van deze veiligheidsmaatregelen?
3. Op basis van welke punten zou een beveiliging van internet-bankieren beoordeeld
kunnen worden?
4. Hoe is het gesteld met de veiligheid van het huidige internetbankieren?
De antwoorden op de subvragen en daarmee op de hoofdvraag zullen een inzicht geven in
de manieren waarop banken hun internetbankieren kunnen beoordelen op veiligheid. Ook
zullen de antwoorden een overzicht geven van de best practices. Deze kunnen gebruikt
worden voor het identificeren van verbeterpunten via een gap-analyse.
Hierbij zal niet gekeken worden naar de hardware en de daarvoor getroffen maatregelen op
het vlak van de techniek en de processen binnen de banken zelf.
1.3
Aanpak van onderzoek
Voor een goede afbakening van het onderzoek is het noodzakelijk de relevante begrippen
eerst te definiëren. In hoofdstuk 2 zal daarom ingegaan worden op de begrippen “veiligheid”
en “internetbankieren”. In hoofdstuk 3 zullen de richtlijnen van het ECBS nader worden
2
Vanwege de vertrouwelijkheid van de NVB documenten zijn deze niet in de literatuurlijst opgenomen. Verder
is er afgesproken dat er geen gegevens uit deze documenten gepubliceerd mogen worden. De documenten van de
ECBS zijn wel openbaar.
Pagina 2 van 35
Scriptie “Veiligheid internetbankieren”
April 2008
toegelicht. Vervolgens zal in hoofdstuk 4 ingegaan worden op de bekende methoden,
waarmee fraude gepleegd zou kunnen worden met het internetbankieren. In hoofdstuk 5 zal
dan beschreven worden welke veiligheidsmaatregelen de banken daadwerkelijk getroffen
hebben. Eventuele alternatieve methoden zullen ook hier besproken worden. Via hoofdstuk 6
zal ingegaan worden op de zwakke punten van elk van deze veiligheidsmaatregelen ten
opzichte van de fraudemethoden. En tot slot zullen in hoofdstuk 7 de onderzoeksvragen
worden beantwoord met eventuele adviezen voor een betere veiligheid en met een aanzet
voor een RCM.
Pagina 3 van 35
Scriptie “Veiligheid internetbankieren”
Hoofdstuk 2
April 2008
Scope van het onderzoek
In dit hoofdstuk zal worden ingegaan op de definities van ‘veiligheid’ en ‘internetbankieren’,
die verder binnen dit onderzoek en binnen deze scriptie worden gebruikt. Verder zal de
scope van het onderzoek op basis van deze definities nader worden toegelicht.
2.1
Internetbankieren
De definitie die de Information Systems Audit and Control Association (ISACA) hanteert voor
het internetbankieren is: “… the use of the Internet as a remote delivery channel for banking
services. Services include the traditional ones, such as opening an account or transferring
funds to different accounts, and new banking services, such as electronic online
payments”[5].
ECBS en ISACA onderscheiden de volgende niveaus van internetbankieren [5, 6]:
1. Algemene informatieverstrekking (niveau 1):
Communicatie is op dit niveau niet interactief. En de getoonde gegevens zijn niet
vertrouwelijk. Banken gebruiken het internet (website) als een manier om informatie te
verstrekken aan haar (potentiële) klanten. De te verstrekken informatie kan variëren van
adresgegevens van bankfilialen, informatie over services en producten tot aan
rekenmodules voor, bijvoorbeeld, het berekenen van het maximaal te belenen
hypotheekbedrag. Via de websites zijn er geen mogelijkheden om direct in contact te
treden met de banken. Er worden daarom alternatieve mogelijkheden geboden aan de
bezoekers van de website om in contact te treden met de banken. De bezoekers worden,
bijvoorbeeld, gevraagd om hun vragen en opmerkingen in een speciale deel van de
website achter te laten. Ze zullen dan hun antwoord ontvangen via de contactgegevens
die deze bezoekers zelf hebben moeten achtergelaten. De websites van de banken
hebben naast deze openbare delen ook delen die alleen voor klanten toegankelijk zijn.
Alleen het gebruik van de openbare delen van de websites kunnen gerekend worden tot
het internetbankieren op het eerste niveau;
2. Persoonlijke informatie op afroep (niveau 2):
Er is op dit niveau sprake van een beperkte communicatie over en weer via de website.
Op dit tweede niveau gebruiken banken hun websites om vertrouwelijke gegevens met
haar klanten te delen. Voorbeelden zijn gegevens over de eigen betaalrekening, zoals
het saldo en de overzichten van betalingen. Gegevens op dit tweede niveau zijn
voornamelijk ter informatie beschikbaar voor de klanten. Omdat het vertrouwelijke
gegevens betreft, is authenticatie noodzakelijk van degenen die de bankgegevens of
andere persoonlijke gegevens opvraagt. Verder is het noodzakelijk de gegevens
versleuteld te versturen;
3. Beschikking over de persoonlijke fondsen (niveau 3):
Communicatie is op dit niveau interactief. Klanten hebben een directe toegang tot de
vertrouwelijk data van de banken (zie beschrijving niveau 2). Op dit niveau bieden de
banken de klanten de mogelijkheid om via de website te beschikken over hun fondsen en
deze te gebruiken voor het uitvoeren van, bijvoorbeeld, betalingen. Binnen dit derde
niveau onderscheidt de ECBS, in tegenstelling tot ISACA, nog twee subniveaus; het aan
kunnen maken van betalingen met willekeurige betalingsinstructies en het kunnen
accorderen van geplande en afgesproken betalingen, waarbij de instructies al vooraf via
een ander medium zijn afgesproken [6]. Omdat via de website de beschikking verkregen
kan worden over de fondsen van de klanten van de banken, zijn er op dit niveau de
meest uitgebreide vormen van veiligheidsmaatregelen nodig. De maatregelen zullen
gericht zijn op de vertrouwelijkheid en integriteit van de uitgewisselde gegevens en
Pagina 4 van 35
Scriptie “Veiligheid internetbankieren”
April 2008
identificatie en de authenticatie van de klanten en de banken. Verder zal er een sterke
focus liggen op de onweerlegbaarheid van de transacties.
4. Klantenwerving en klantregistratie (niveau 4):
Dit niveau wordt niet door ISACA genoemd. De ECBS beschouwt dit als het niveau waar
de banken de grootste risico’s kunnen lopen. Op dit niveau kunnen de klanten namelijk
hun namen, adres of andere data veranderen die gebruikt gaan worden voor de
identificatie en de authenticatie.
Factoren die de verschillende niveaus onderscheiden zijn:
• de servicetype, de daarbij horende interactie tussen de banken en haar klanten; en
• de vertrouwelijkheid en integriteit van de betrokken gegevens.
Dit onderzoek zal zich gaan richten op het internetbankieren op het derde niveau, waarbij de
klanten betalingen aan kunnen maken zonder de instructies vooraf te hoeven aangeven bij
haar banken. De volgende definitie van het internetbankieren zal verder binnen het
onderzoek gehanteerd worden:
Internetbankieren is de service die de banken aan haar klanten aanbieden waarmee haar
klanten via het internet volledig over hun eigen fondsen kunnen beschikken en waarbij de
klanten banktransacties kunnen uitvoeren zonder deze vooraf te hoeven aangeven bij de
banken.
2.2
Veiligheid
Het Van Dale woordenboek definieert “veiligheid” als “het beschermd zijn tegen gevaar” [7].
Deze definitie koppelt het begrip veiligheid met de bekendheid van alle mogelijke gevaren,
die de klanten lopen met het internetbankieren. Deze definitie gaat echter voorbij aan het
subjectieve element van veiligheid. Verder kan nooit de zekerheid worden gegeven dat alle
gevaren bekend zijn, zowel niet bij de banken als bij de klanten.
Wikipedia omschrijft veiligheid als “de mate van afwezigheid van potentiële oorzaken van
een gevaarlijke situatie of de mate van aanwezigheid van beschermende maatregelen tegen
deze potentiële oorzaken [8].” Deze definitie onderkent een verschil tussen een rationele en
een denkbeeldige veiligheid. De rationele veiligheid kan berekend worden in tegenstelling tot
de denkbeeldige veiligheid. Iemand kan zich veilig voelen maar het rationeel gezien niet zijn
en andersom. Het subjectieve element wordt ook onderkend via de definitie van de NVB. De
NVB ziet veiligheid namelijk als een integraal begrip dat niet los gezien kan worden van het
bancaire product. “Veiligheid is een subjectief en abstract begrip. Veiligheid van
betaaldiensten kan daarom niet geïsoleerd, maar wel als onderdeel van een groter geheel
worden beschouwd. Elk bancaire product heeft immers zijn eigen veiligheidskenmerken.
Honderd procent veiligheid bestaat niet. De vraag waar het om gaat is of een product
voldoende veilig is. Het antwoord op die vraag wordt in eerste instantie bepaald door het
maken van risicoanalyses en het accepteren van resterende risico’s. In tweede instantie
bepalen kosten en gebruiksgemak hoe ver het veiliger maken kan gaan [9].”
Het is niet het doel van dit onderzoek om voor de banken te bepalen wat de acceptabele
restrisico’s zijn. Daarom zullen de richtlijnen van de ECBS en de NVB genomen worden als
een maat voor veiligheid. De veronderstelling is hierbij dat dit het minimale veiligheidsniveau
is. In het verlengde van de definitie voor het “internetbankieren” zal de volgende definitie van
de “veiligheid” verder binnen het onderzoek gehanteerd worden:
Veiligheid is de mate waarin de banken voldoen aan de richtlijnen van de ECBS en de
NVB voor de veiligheidsmaatregelen voor het internetbankieren
Pagina 5 van 35
Scriptie “Veiligheid internetbankieren”
April 2008
2.3
Afbakening van het onderzoek
Voor het onderzoek wordt uitgegaan van het bankperspectief. Dit betekent dat er gekeken
wordt naar wat de banken kunnen doen voor hun klanten. Een aanname hierbij is dat aan de
bankzijde alles voldoet aan de eisen van de ECBS en van de NVB waarmee volgens dit
onderzoek de veiligheid is gegarandeerd. Dit wil zeggen dat de noodzakelijke
functiescheidingen en certificering in gebruik zijn voor alle processen en infrastructuren aan
de bankzijde, inclusief de websites die het internetbankieren ondersteunen. De focus van dit
onderzoek zal zich daarom beperken tot de communicatie tussen de bankinfrastructuur voor
het internetbankieren en de PC’s van de klanten. Hierbij is aangenomen dat de veiligheid
van de PC’s van de klanten onvoldoende is.
Dit onderzoek zal zich niet richten op de (technische) infrastructuur bij de banken die de
veiligheidsmaatregelen ondersteunen. Ook zal er niet gekeken worden naar de
veiligheidsmaatregelen bij de klanten zelf. Dit is omdat dit niet onder het beheer van de
banken valt. Verder valt ook de beoordeling van de beschikbaarheid en de logging van de
data buiten de scope van dit onderzoek.
Figuur 2 - scope onderzoek
De volgende kwaliteitsaspecten zullen meegenomen worden in het onderzoek [10]/[11]:
Kwaliteitsaspect
Relevantie voor
Voorbeelden van bedreigingen
internetbankieren
Vertrouwelijkheid
Bescherming van gevoelige
• Rekeningoverzichten en
informatie tegen
transacties van klanten kunnen
ongeautoriseerde toegang of
door onbevoegden bekeken
interceptie
worden;
• Betalingsopdrachten van klanten
kunnen onderschept en worden
gelezen.
Integriteit
Waarborging van volledigheid
• Betalingsopdrachten kunnen
en nauwkeurigheid van data
veranderd worden of verloren
gaan
Bescherming tegen
• Rekeningnummers en bedragen
toevoegingen en verandering
van betalingsopdrachten kunnen
van data
worden gemanipuleerd.
Authenticiteit
Waarborging van voldoende
• Criminelen kunnen zich
identificatie en de verificatie van
voordoen als klanten van de
deze identificatie
bank en zo namens de klanten
betalingsopdrachten versturen.
Onweerlegbaar
Garantie van identiteit van
• Klanten kunnen claimen de
afzender en / of de uitgevoerde
opdracht niet gestuurd te
transactie/opdracht.
hebben of dat ze iemand niet
zijn.
Pagina 6 van 35
Scriptie “Veiligheid internetbankieren”
Hoofdstuk 3
April 2008
Richtlijnen voor het internetbankieren
In dit hoofdstuk worden de relevante ECBS-richtlijnen voor het internetbankieren uiteen
gezet. De focus zal liggen op de ECBS-richtlijnen die relevant zijn voor de
kwaliteitsaspecten, zoals aangegeven in hoofdstuk 2. Deze richtlijnen vallen onder de ECBSrichtlijnen voor veiligheidsmaatregelen..
3.1
ECBS richtlijnen voor veiligheidsmaatregelen [6]:
Hieronder volgen de functionele richtlijnen van de ECBS voor de veiligheidsmaatregelen die
relevant zijn voor de kwaliteitsaspecten, die in scope zijn voor dit onderzoek:
Kwaliteitsaspect
ECBS richtlijn
Vertrouwelijkheid
• Een systeem moet beveiligd zijn tegen het lekken van informatie.
Voorkomen moet worden dat klanten, bewust of onbewust,
toegang krijgen tot informatie van andere klanten.
Integriteit
• Er moeten veiligheidsmaatregelen genomen worden om
verschillen in data te herkennen en er moeten maatregelen
beschikbaar zijn om deze discrepanties te corrigeren.
Authenticiteit
Onweerlegbaar
Algemeen
• Voor het aangaan van financiële verplichtingen door klanten moet
er gebruik worden gemaakt van 2-factor authenticatie. De
authenticatie moet gebeuren via een kenniskenmerk (iets wat de
klant moet weten) in combinatie met een bezitskenmerk (iets wat
de klanten moet hebben). Deze kenmerken moeten zijn
gepersonaliseerd en verplicht worden gebruikt voor authenticatie;
• Authenticatie kan ook gebeuren via een wachtwoord en een
eenmalige transactiecode die aan een transactie wordt
meegegeven. Een alternatief kan verder zijn het versleutelen van
data met een geheime sleutel waarmee ook de klanten kunnen
worden geïdentificeerd.
• Om onweerlegbaarheid te bereiken zou minimaal 2-factor
authenticatie moeten worden gebruikt in combinatie met
maatregelen voor het waarborgen van integriteit en authenticiteit
van de berichten. Dit houdt bijvoorbeeld in dat er gebruik gemaakt
moet worden van het versleutelen van data (zie voor details
paragraaf 3.2).
• Klanten moeten worden geïnformeerd over de mogelijke gevaren
bij het gebruik van internetbankieren. Verder moeten de klanten op
de hoogte worden gebracht over de veiligheidsmaatregelen die zij
zelf kunnen nemen.
Pagina 7 van 35
Scriptie “Veiligheid internetbankieren”
April 2008
3.2
ECBS aanbevelingen voor de invulling veiligheidsmaatregelen:
Hieronder volgen de technische aanbeveling van de ECBS voor de veiligheidsmaatregelen
die relevant zijn voor de kwaliteitsaspecten, die in scope zijn voor dit onderzoek. De uitleg
van de aanbevolen technieken volgen in dit hoofdstuk [6]/[12]:
Kwaliteitsaspect ECBS richtlijn
Vertrouwelijkheid • Gebruik een cryptologische algoritme die gebruik maakt van
dezelfde sleutel3 voor zowel de encryptie als voor de decryptie’.
Triple-DES encryptie algoritme met een sleutellengte van 112 bits
wordt als minimum aangeraden. Voorkeur zou gegeven moeten
worden aan AES [13];
• De levensduur van de sleutel zou zo kort mogelijk moeten zijn4; en
• Gebruik encryptie-sleutels, die niet kunnen worden hergebruikt. In
praktijk betekent dit dat er steeds een nieuwe sleutel zou moeten
worden gebruikt.
Integriteit
• Gebruik een hash-functie, zoals SHA-1 of MAC. SHA-1 wordt
aangeraden als de berichten worden verstuurd door een kanaal dat
te vertrouwen is. Anders wordt de MAC algoritme aangeraden met
een sleutellengte van minimaal 112 bits.
• De levensduur van de sleutel voor de hash-functie zou zo kort
mogelijk moeten zijn5; en
• Gebruik hash-sleutels, die niet kunnen worden hergebruikt.
Authenticiteit
• Gebruik een elektronische handtekening die gebaseerd is op een
asymmetrische cryptologische algoritme in combinatie met een
hash-functie. RSA met een sleutellengte van minimaal 1024 bits
wordt aangeraden als algoritme in combinatie met de SHA-1 of de
MAC hash-functie;
• Publieke sleutels moeten via certificaten worden gedistribueerd;
• Sleutels van klanten moeten versleuteld worden opgeslagen in een
persoonlijk apparaat in afwachting van gebruik. Of de sleutels van de
klanten moeten worden opgeslagen in een apparaat die antwoorden
op challenges6 genereert. Deze apparaten moeten ‘tamper proof’ of
‘tamper resistant zijn’;
• De levensduur van de sleutel voor de hash-functie zou zo kort
mogelijk moeten zijn; en
• Gebruik sleutels die niet kunnen worden hergebruikt. In praktijk
betekent dit dat er steeds een nieuwe sleutel zou moeten worden
gebruikt.
3
Sleutel of key binnen cryptografie is een reeks van symbolen die gebruikt voor encryptie en decrypte. Zonder
deze reeks kan de een bericht na encryptie niet meer via een algoritme ‘terugberekend’ worden naar het originele
bericht.
4
De minimale levensduur is afhankelijk van de gebruikte encryptie algoritme. Deze duur moet korter zijn dan de
kortste tijdsduur waarbinnen de versleutelde data gekraakt kan worden.
5
De minimale levensduur is afhankelijk van de gebruikte hash algoritme. Deze duur moet korter zijn dan de
kortste tijdsduur waarbinnen de hash gekraakt kan worden.
6
Challenges worden op de websites van het internetbankieren gegenereerd en weergegeven. Deze challenges
moeten door de klanten worden gebruikt om autorisatiecodes te generen waardoor de banken deze klanten
kunnen authenticeren. De autorisatiecodes worden met behulp van sleutels gegenereerd. Deze sleutels kunnen op
een PIN-pas of, bijvoorbeeld, op een e-dentifier opgeslagen zijn (zie hoofdstuk 5).
Pagina 8 van 35
Scriptie “Veiligheid internetbankieren”
Kwaliteitsaspect
Onweerlegbaar
Algemeen
April 2008
ECBS richtlijn
Er moet minimaal 2-factor authenticatie worden gebruikt, waarbij
minimaal de integriteit en authenticiteit van de berichten zoveel
mogelijk moet kunnen worden gegarandeerd. Dit houdt in dat er een
combinatie moet worden gebruikt van de maatregelen die hiervoor zijn
genoemd (eerste deel van deze tabel). Belangrijk hierbij is het gebruik
van een asymmetrische cryptologische algoritme. Hiermee kan via
gebruik van privé en publieke sleutels de onweerlegbaarheid
gewaarborgd worden (zie paragraaf 3.3 voor meer details).
• Sleutels moeten voor steeds één doeleinde worden gebruikt. Dit wil
zeggen dat als een sleutel voor de encryptie wordt gebruikt, deze
niet ook moet worden gebruikt voor het bereken van de MAC hashwaarde;
• Bij gebruik van publieke sleutels moeten deze gedistribueerd worden
via certificaten;
• Certificaten moeten minimaal van de standaard X.509-versie 3 zijn;
• Eventuele TAN7-codes moeten voor eenmalig gebruik bestemd zijn
en moeten minimaal uit 4 posities bestaan. Verder moeten deze
TAN-codes willekeurig gegenereerd en opgevraagd worden;
• Voor de communicatie via websites is het gebruik van het SSL
protocol, versie 3.0, het minimum standaard8;
• De bank moeten zorgen voor de veiligheid van de distributie van
tokens en andere data waarmee haar klanten toegang tot haar
fondsen kan krijgen via het internet [14].
Aanbevolen algoritmes
ECBS beveelt alleen algoritmes aan die openbaar zijn voor het publiek. De ECBS doet dit
omdat deze algoritmes eenvoudig voor een groot publiek te implementeren zijn en omdat
deze uitvoerig door een groot aantal experts continue kunnen worden getest9. De ECBS
geeft daarom een voorkeur aan algoritmes van de internationale standaarden (IS) [12].
3.3
Symmetrische versus asymmetrische algoritmes bij encryptie en decryptie
Symmetrische algoritmes
Bij symmetrische algoritmes worden dezelfde sleutel gebruikt voor zowel de encryptie als
voor de decryptie [10]. Een betalingsbericht, bijvoorbeeld, wordt met deze algoritmes
versleuteld met sleutel ‘k’, waarna de versleutelde tekst C over het internet kan worden
verstuurd. Tekst C kan met gebruik van dezelfde sleutel ‘k’ weer ontcijferd worden naar het
originele bericht. De verstuurder van het bericht en de ontvanger van het bericht moeten
beide dezelfde sleutel hebben en deze ook gebruiken. De distributie en opslag van deze
sleutel is daarmee het zwakke punt van deze algoritmes.
Figuur 3 - symmetrische algoritme [10]
7
TAN staat voor Transaction Authentication Number
SSL 3.0 moet gebruikt worden met de voorgestelde encryptie en hashing methodes (minimaal 3-DES met 112
bits en SHA-1).
9
. Belangrijk is dan dat alleen het algoritme openbaar is maar niet de sleutel
8
Pagina 9 van 35
Scriptie “Veiligheid internetbankieren”
April 2008
Triple DES
Data Encryption Standard (DES) is een vorm van symmetrisch algoritme. Het kenmerk is
hierbij dat het algoritme het originele bericht in blokken opdeelt, waarbij de lengte van de
blokken even lang is als de sleutel die wordt gebruikt voor het versleutelen en het ontcijferen.
Met DES wordt gewerkt met een sleutellengte van 64 bits, waarvan alleen 56 bits worden
gebruikt [12]. De andere 8 bits zijn de pariteitsbits. Triple DES houdt in dat er met drie
stappen berichten worden versleuteld en ontcijferd. De meest gebruikte Triple DES vorm is
de EDE mode. Hierbij worden twee sleutels gebruikt. Originele berichten worden in blokken
verdeeld op basis van de sleutellengte, waarna deze blokken worden versleuteld met sleutel
1. Hierna worden deze blokken nogmaals versleuteld; maar dan met sleutel 2. En uiteindelijk
worden de blokken nog een keer versleuteld met sleutel 1. Het resultaat is een versleutelde
tekst die alleen te lezen is met de twee sleutels en nadat de versleutelde tekst het
omgekeerde proces heeft ondergaan. Een andere vorm van Triple DES is de EEE mode die
gebruik maakt van drie onafhankelijke sleutels bij encryptie en dezelfde drie sleutels bij
decryptie. Bij gebruik van 2 onafhankelijke sleutels van 56 bits is er sprake van een totale
sleutellengte van 112 bits en bij gebruik van 3 sleutels is er sprake van een totale
sleutellengte van 168 bits10.
AES
AES staat voor Advance Encryption Standard en is ook een vorm van symmetrisch
algoritme. De AES is ontworpen als een opvolger van de DES. Met de AES kan er gebruik
gemaakt worden van een langere sleutellengte (waarbij de datablokken dezelfde lengte
hebben). Sleutellengtes van 128, 192 en 256 bits zijn gebruikelijk. AES is in gebruik van
rekencapaciteiten efficiënter dan DES. Overigens is van de AES bekend dat ook deze
zwakke punten kent. Details hierover zijn echter summier [15].
Asymmetrische algoritmes
Bij asymmetrische algoritmes wordt voor de encryptie een andere sleutel gebruikt dan voor
de decryptie [10]. Bij deze algoritmes is er sprake van een publieke sleutel en een privé
sleutel. De publieke sleutel kan aan iedereen worden uitgegeven. Gegevens, zoals een
betalingsbericht, worden versleuteld met een publieke sleutel, waarna de versleutelde tekst
(cipher text C in onderstaand figuur 4) over het internet verstuurd kan worden. Als hetzelfde
proces ook in de andere richting gebeurt, is er zekerheid dat het bericht van degene met de
private key afkomstig is, ofwel non repudiation. Deze versleutelde tekst kan alleen weer
ontcijferd worden naar het originele bericht met een privé sleutel11. Deze algoritmes hebben
als nadeel dat het gebruik in sommige gevallen veel rekencapaciteit vergt.
Figuur 4 - Asymmetrische algoritme [10]
10
Een zwakte van Triple DES is ook steeds dezelfde sleutel kan gebruiken. Als dit gebeurt, is de Triple DES in
feite single DES.
11
Originele tekst kan ook met de privé sleutel worden versleuteld en dan met de publieke sleutel worden
ontcijferd.
Pagina 10 van 35
Scriptie “Veiligheid internetbankieren”
April 2008
RSA
RSA staat voor Rivest Shamir Adleman en is een vorm van een asymmetrisch algoritme
gebaseerd op het gebruik van priemgetallen12. Ook kan het als een elektronische
handtekening worden gebruikt [16]. Voor het gebruik als elektronische handtekening moet
eerst de hashwaarde worden berekend van het te versturen bericht. Daarna zal deze
hashwaarde kunnen worden versleuteld met de privé sleutel. De ontvanger van het bericht
kan dit als een handtekening beschouwen omdat deze hashwaarde alleen te ontcijferen is
met de bijbehorende publieke sleutel van de verstuurder; en omdat de ontcijferde
hashwaarde klopt. Voorwaarde is wel dat dezelfde hash algoritme wordt gebruikt. In gebruik
is RSA echter veel trager dan DES en de andere symmetrische encryptie algoritmes13.
Er zijn verschillende manieren om de publieke sleutel te distribueren [12]/[17]/[13]:
1. Elektronisch door de publieke sleutel via een website te laten downloaden;
In het geval van het internetbankieren is het voor de klanten van de banken noodzakelijk
dat ze de juiste publieke sleutels ontvangen. Anders zouden de banken de berichten van
haar klanten niet meer kunnen lezen en andersom. Hiervoor is het nodig dat de klanten
zekerheid moeten kunnen krijgen van de authenticiteit en de integriteit van de websites.
Deze authenticatie kan gebeuren door het gebruik van certificaten (zie ook punt 3
hierna);
2. Via een mediumdrager, smartcard of CD-rom en met persoonlijke aflevering;
De persoonlijke aflevering is een omslachtige methode, vooral als de groep gebruikers
groot is. Verder is het noodzakelijk dat de ontvanger en de verstrekker van de publieke
sleutel zich identificeren. Ook zou men zeker van moeten zijn dat de CD-rom niet
onderweg vervangen is;
3. Via een certificaat:
Een certificaat is een bewijs dat door een onafhankelijke partij, een zogenaamde
Certificate Authority (CA), wordt afgegeven. De CA garandeert daarmee dat de publieke
sleutel inderdaad van de verstuurder is, bijvoorbeeld een bank. Verder certificeren de
CA’s ook websites waardoor deze ook kunnen worden geauthenticeerd (zie hierboven
punt 1). Klanten weten bij het internetbankieren via de certificaten dat de websites ook
daadwerkelijk van hun banken zijn. Een zwakke punt bij certificaten is dat iedereen een
certificaat kan aanvragen14. Degenen die de certificaten gebruiken ter authenticatie van
de andere partijen moeten alert zijn op de houdbaarheidsdatum en de naam die op deze
certificaten staan. De ECBS heeft richtlijnen in het gebruik van certificaten en ook is er
een ISO-norm voor het gebruik van certificaten, de ISO TC 68 [18]/[19]. CA is een
component van de Public Key Infrastructure (PKI).
Public Key Infrastructure (PKI)
PKI is een verzamelnaam voor technieken, organisatie, standaarden, processen en regels.
PKI wordt gebruikt voor distributie en gebruik van publieke sleutels [20]/[21]. Via de PKI is er
enige mate van zekerheid dat de juiste certificaten bij de juiste partijen terecht komen,
bijvoorbeeld bij banken en haar klanten. Een PKI bestaat uit verschillende componenten. De
belangrijkste zijn [22]:
• Certificate Authority (CA) die de certificaten uitgeeft en beheert;
• Registration Authority (RA) die vast moet stellen aan wie een certificaat kan worden
verstrekt en die de uitgifte ervan controleert;
• Certificate revocation list (CRL) waarmee de ingetrokken en vervallen certificaten worden
bijgehouden;
12
Priemgetal is een getal die alleen deelbaar is door 1 of door zichzelf.
In gebruik zijn de asymmetrische algoritmes trager dan de symmetrische algoritmes.
14
Certificaten voor websites kunnen niet opnieuw worden uitgegeven.
13
Pagina 11 van 35
Scriptie “Veiligheid internetbankieren”
•
•
April 2008
Certificate Practice Statement (CPS) waarin de algemene (verkoop)voorwaarden van de
PKI wordt vastgelegd; en
Directory Service (DS) waarmee wordt bijgehouden aan wie een certificaat wordt
verstrekt.
3.4
Hashing
Met hashen wordt bedoeld dat er met een mathematische bewerking een stuk data wordt
samengevat. Het resultaat is een reeks van cijfers en letters en wordt de hashwaarde
genoemd. Het is niet mogelijk om via de hashwaarde de originele data te berekenen. De
hashwaarde wordt gebruikt om te controleren of de originele data niet veranderd is. Dit wordt
gedaan door opnieuw de hashwaarde te bereken. Als de originele data niet veranderd is,
moet dezelfde berekening met dezelfde data in beide keren dezelfde hashwaarde opleveren.
Voorwaarde is dan wel dat dezelfde hashmethode wordt gebruikt. De methodes die door
ECBS worden aangeraden zijn MAC en SHA-1.
MAC
Message Authentication Code (MAC) wordt gebruikt om de integriteit van de verstuurde data
te verifiëren. Voor het berekenen van de MAC wordt gewoonlijk DES gebruikt, waarna de
MAC met het originele bericht kan worden meegestuurd. De eisen die aan het gebruik van
MAC worden gesteld, zijn vastgelegd in ISO/IEC 9797-1 (voor de berekeningen) en in
ISO/DIS 16609 (voor specifieke eisen vanuit de banken) [23]/[24].
De Hashed Message Authentication Code (HMAC) gebruikt een sleutel voor het berekenen
van de MAC, waardoor de MAC zelf is versleuteld [25]. Hiermee wordt voorkomen dat bij het
veranderen van de data ook de MAC mee wordt veranderd, waardoor de veranderingen van
de data onopgemerkt blijven.
Figuur 5 - HMAC [10]
SHA
SHA staat voor Secure Hashing Algorithm en wordt net als de MAC gebruikt om de integriteit
van de verstuurde data te verifiëren. De SHA vat de originele tekst samen tot een grootte
van 160 bits. Voorwaarde hierbij is dat de originele data niet langer is dan 2^64 bits. Andere
vormen van SHA raken steeds meer in gebruik. Deze hebben andere karakteristieken voor
de grootte van het originele bericht en van de samengevatte tekst.
3.5
Communication protocollen
SSL/TSL
Secured Socket Layer (SSL) is een communicatieprotocol waarmee vertrouwelijkheid,
integriteit en authenticatie van de uitgewisselde data tussen de verzender en ontvanger kan
worden gegarandeerd [26]. Dit protocol draait bovenop de TCP/IP transportprotocollen en
onder de applicatieprotocollen zoals http binnen het OSI-model [27]/[28]. Er is altijd sprake
van een client en een server. De client is degene die de communicatiesessie initieert. De
server zal reageren door een certificaat te sturen naar de client. De client genereert dan op
Pagina 12 van 35
Scriptie “Veiligheid internetbankieren”
April 2008
zijn beurt een Masterkey en zal deze Masterkey versleuteld (met de publieke sleutel van de
server) versturen naar de server. Na authenticatie door zowel de server en de client zal de
client twee sessie sleutels aanmaken op basis van de Masterkey. Alle data die vanaf dat
moment tussen de server en de client worden uitgewisseld zullen met deze sessiesleutels
versleuteld worden [10]/[27].
De huidige versie van SSL is versie 3 en het ondersteunt onder andere de encryptie
algoritmes DES, 3-DES en AES. Verder ondersteunt deze versie de x.509 certificaten en de
SHA-1 hash methode [10]. De Transport Layer Security (TSL) is een opvolger van de SSL.
TSL is gebaseerd op SSL v3.0, maar beiden zijn technisch niet ‘interchangeable’. TSL heeft
meer functionaliteiten, waardoor niet alle certificaten tot aan de CA bijgesloten hoeven te
worden. TSL heeft dan genoeg aan certificaten van tussenpersonen die namens de CA’s
optreden en certificaten uitgeven. Maar het grootste verschil tussen TSL en SSL is dat TSL
gebruik maakt van HMAC voor hashing. Dit is een veiligere methode voor het garanderen
van de integriteit van de berichten, omdat de MAC zelf versleuteld is [29].
Figuur 6 - SSL [27]
3.6
Methode voor authenticatie van gebruikers
De standaard voor het authenticeren van gebruikers is gebaseerd op het gebruik van drie
soorten van attributen. Er wordt gesproken van 1-, 2- of 3- factor authenticatie op basis van
het aantal kenmerken, die gebruikt moeten worden voor het authenticeren [13]. Het is echter
geen voorwaarde dat men verschillende kenmerken moet gebruiken15. De volgende drie
kenmerken worden gebruikt voor de authenticatie van een gebruiker:
15
Een authenticatie heet ook 2-factor als hetzelfde factor twee keer gebruikt wordt. Deze verwarring is niet
ongewoon en komt voor door het ontbreken van afspraken op het gebied van de naamgeving [14]. Voor dit
onderzoek wordt er alleen gesproken van een 2-factor authenticatie als er twee verschillende attributen worden
gebruikt voor authenticatie.
Pagina 13 van 35
Scriptie “Veiligheid internetbankieren”
April 2008
1. Kenniskenmerk: dit omvat alle zaken die men moet weten om toegang aan te kunnen
vragen. Dit kan variëren van gebruikersnamen, wachtwoorden tot persoonlijke
identificatie nummers (PIN);
2. Bezitskenmerk: dit zijn zaken die men in bezit moet hebben en waarmee toegang
aangevraagd kan worden. Dit kan variëren van pinpassen, smartcards tot
gepersonaliseerde calculatoren;
3. Persoonlijke kenmerken: dit omvat alle biometrische kenmerken van de gebruiker,
waarmee de gebruiker toegang kan aanvragen. Voorbeelden hiervan zijn
vingerafdrukken, iriskenmerken en stemkenmerken.
Figuur 7 – authenticatie via internet
Pagina 14 van 35
Scriptie “Veiligheid internetbankieren”
Hoofdstuk 4
April 2008
Gevaren voor het internetbankieren
In dit hoofdstuk wordt verder ingegaan op de methoden waarmee fraude kan worden
gepleegd door derden met het internetbankieren. Er zijn hierbij twee categorieën te
onderscheiden. De eerste categorie kenmerkt zich door misleiding van buitenaf. De tweede
categorie richt zich op de PC’s van de klanten en de servers voor de routering. Het
kenmerkende verschil tussen beide categorieën is dat bij de tweede categorie software op
de PC’s/servers moet worden geïnstalleerd.
4.1
Fraudemethode met internetbankieren zonder toegang tot PC of server
Phishing [31]
Phishing is kort voor ‘password harvesting fishing’ [32] en omvat alle methoden waarmee
fraudeurs proberen te ‘vissen’ naar de gegevens van de klanten van de banken. Dit kan in de
vorm van een e-mail, maar kan ook in de vorm van een telefoon of chatprogramma’s16. Het
doel van phishing is altijd het achterhalen van de inloggegevens, waarmee toegang kan
worden verkregen tot de bankrekeningen of het achterhalen van de persoonlijke gegevens
waarmee identiteitsfraude gepleegd kan worden.
Er zijn verschillende vormen van phishing:
1. Internal redirection via webservers:
Dit is een manier van phishing waarbij de aanval plaatsvindt bij webservers. Klanten van
banken worden doorgestuurd naar een nepwebsite, terwijl de gebruiker het correcte
internetadres, ofwel URL, heeft ingetypt op zijn computer. Een voorbeeld is dat de
gebruiker de correcte URL www.abnamro.nl heeft ingetypt maar dan toch wordt
doorgestuurd naar www.netherlands.abnamro.com via de webserver. De klanten zullen
niet in de gaten hebben dat ze communiceren met een nepwebsite en zullen hun
inloggegevens prijsgeven; en
2. Attack by URL disguising of spoofing:
Hierbij wordt er een e-mail/chat/pop-up verstuurd naar het potentiële slachtoffer waar
wordt gevraagd om op een ogenschijnlijk correcte URL te clicken. In werkelijkheid is de
getoonde URL een afleiding voor de onderliggende malafide (en niet direct zichtbare)
URL. Een voorbeeld is de malafide URL www.netherlands.abnamro.com in plaats van
www.abnamro.nl. Onder deze subcategorie valt ook de defacing van de echte websites
en pop-up reclame banners, waarbij de onderliggende links zijn vervangen met URL’s
van nepwebsites’.
16
Voor het onderzoek wordt een chat beschouwd als een vorm van e-mail.
Pagina 15 van 35
Scriptie “Veiligheid internetbankieren”
April 2008
Figuur 8 – phishing data 2005 [32]
Man-In-The-Middel aanval
Een bijzondere vorm van phishing is de Man-In-The- Middle (MITM) aanval17. Deze vorm van
phishing kenmerkt zich door het opvangen en injecteren van valse gegevens [33]. Hiervoor
gebruiken criminelen nepwebsites. Deze nepwebsites hebben als doel de klanten van het
internetbankieren te misleiden om zo hun inloggegevens en andere persoonlijke gegevens te
ontfutselen Er zijn verschillende technieken voor criminelen om de klanten naar een
nepwebsite te lokken. Deze omvatten zowel de hierboven genoemde methoden maar
kunnen ook de methoden omvatten waarbij wel toegang tot de PC’s of servers nodig is .
Bij een MITM aanval zullen de klanten van een bank denken dat zij communiceren met de
bonafide website van de bank. Maar in werkelijkheid communiceert de klant met een
nepwebsite op een server die criminelen tussen de klanten en de server van de bank hebben
geplaatst. De criminelen gebruiken de gegevens, die de klanten zelf aanleveren, om toegang
te krijgen tot rekeningen van de klanten via de bonafide website. De bonafide website zal
denken dat deze met een echte klant te maken heeft. Fraude vindt dan plaats doordat de
fraudeur de transactiegegevens, zoals bedragen en de rekeningen en namen van de
begunstigden, kan veranderen waarna de klanten deze transacties zullen autoriseren.
Figuur 9 – MITM aanval [33]
17
Man-In-The-Middle attack wordt ook wel de Bucket Brigade attack genoemd [45]
Pagina 16 van 35
Scriptie “Veiligheid internetbankieren”
April 2008
Volgens de Nederlandse Vereniging van Banken (NVB) kenmerkt phishing zich door [34]:
• Een onpersoonlijke benadering. Phishers beginnen brieven of e-mails met ‘Beste klant’,
‘Beste gebruiker’ zonder de namen van de klanten zelf te noemen;
• Een buitenlandse taal, meestal Engels of gebrekkig Nederlands in de e-mails, brieven of
nepwebsites;
• Verzoek om persoonlijke en vertrouwelijke gegevens. Banken (en ook andere financiële
instellingen) zullen echter nooit vragen om persoonlijke gegevens en vertrouwelijke
gegevens, zoals wachtwoorden en creditcardgegevens; en
• Het inspelen op angstgevoelens. Er worden teksten gebruikt met de strekking dat
bijvoorbeeld de account voor het internetbankieren zal worden stopgezet of dat de
klanten te maken krijgen met hoge kosten als deze niet reageren.
Een bekend voorbeeld van phishing is de aanval die klanten van de Postbank in september
2007 ondervonden hebben. Hierbij werd bij het inloggen op de bonafide website
www.postbank.nl een pop-up getoond waarin werd gevraagd om de persoonlijke TAN’s. Met
deze TAN’s zouden dan transacties kunnen worden geautoriseerd [35]/[3]:
Figuur 10 - voorbeeld pop-up phishing aanval [3]
4.2
Fraudemethode met internetbankieren via toegang tot PC of server
Pharming
Pharming wordt ook wel ‘Domain Name Server Poisoning’ genoemd. Het lijkt veel op
‘Phishing’ maar het verschil is dat bij pharming de aanvallen zich specifiek richten op de
vertaling van de internetadressen (URL18) naar IP adressen. In het algemeen gebruiken web
browsers een ‘Domain Name Server (DNS)’ van de internetproviders om de internetadressen
te vertalen naar een IP adres [36]. Na een geslaagde aanval op de DNS server zal deze
server de internetadressen vertalen naar een verkeerde IP adres. Dit zijn dan IP adressen
van nepwebsites. Wanneer deze aanval plaats vindt op een publieke DNS server, zullen alle
18
URL staat voor Uniform Resource Locator. Dit is het internetadres van een website.
Pagina 17 van 35
Scriptie “Veiligheid internetbankieren”
April 2008
gebruikers die deze DNS server gebruiken naar de nepwebsites worden doorgestuurd. Maar
een pharming aanval kan ook plaats vinden op het niveau van de PC’s van de individuele
klanten. De aanvallen zijn dan gericht op de DNS cache van een PC, waar de voorgaande
DNS vertaalresultaten zijn opgeslagen. De IP adressen worden vervangen door IP adressen
van de nepwebsites19. Het resultaat is hetzelfde als bij een aanval op een publieke DNS
server.
In de figuur 11 is te zien dat [37]:
(1) Een fraudeur de DNS server aanvalt en ervoor zorgt dat de DNS server het URL van de
bonafide website (www.nicebank.com) vertaalt naar het IP adres van de nepwebsite.
Deze nepwebsite zal bijvoorbeeld het volgende URL hebben www.n1cebank.com. De
nepwebsite zal, qua uiterlijk en URL, erg veel lijken op de bonafide website;
(2) Een klant die naar de website van zijn bank wil gaan het URL www.nicebank.com in zijn
web browser invoert;
(3) De web browser van de klant om het IP-adres vraagt van www.nicebank.com;
(4) Dit internetadres door de DNS server ‘verkeerd’ wordt vertaald, waardoor de web
browser naar het verkeerde IP-adres gaat;
(5) De klant bij de malafide website www.n1cebank.com terecht komt om zijn bankzaken te
verrichten. Fraude is dan mogelijk omdat de fraudeur de transactiegegevens aanpast en
deze transacties door de klanten zelf laat autoriseren.
Figuur 11 - pharming aanval
De nepwebsites die gebruikt worden voor Pharming zijn vergelijkbaar met die voor Phishing.
Het doel van deze nepwebsites is om de gebruikersnaam en wachtwoorden van de klanten
te ontfutselen. Klanten zullen denken dat ze op de bonafide websites van hun banken zijn en
zullen proberen in te loggen. Zodra ze dit doen hebben de klanten hun inloggegevens aan de
criminelen verstrekt zonder zich daarvan bewust te zijn. Ook kunnen er via deze
nepwebsites andere persoonlijke gegevens worden gevraagd, zoals adresgegevens en
kredietkaartgegevens, waarmee identiteitsfraudes kunnen worden gepleegd. Met deze
gegevens kunnen via het internet fondsen worden verkregen, door bijvoorbeeld het aangaan
van leningen en het kopen op krediet. In zulke gevallen wordt ook wel gesproken van
‘identity spoofing20’.
19
Op een windows computer die gebruikt maakt van Internet Explorer kan dit gedaan worden door een host file
te veranderen. In de host file wordt bijgehouden welke internetadres bij welke IP-adres hoort. [9]
20
Er wordt van spoofing gesproken als er sprake is van het stelen en het daarna gebruiken van de identiteit van
iemand anders. Daarom wordt de ‘Man-In-The-Middle’ attack ook wel spoofing genoemd omdat hier de
identiteit van een PC en van een server wordt gebruikt na het stelen hievan.
Pagina 18 van 35
Scriptie “Veiligheid internetbankieren”
April 2008
Trojan
Een Trojan is een computerprogramma met verborgen functionaliteiten [38]. Deze
programma’s nestelen zich in de PC’s en maken het mogelijk dat derden actief kunnen zijn
op deze PC’s zonder dan de gebruiker hiervan bewust is21. Dit kan variëren van het lezen
van data tot het veranderen van in- en uitgaande gegevens. Trojans verspreiden zich
doordat deze programma’s worden opgestart of gedownload. Dit kan gebeuren doordat
klanten van banken denken dat de programma’s van een vertrouwde bron afkomstig zijn. En
doordat de software op de PC’s van de klanten niet up-to-date zijn. Bekende voorbeelden
zijn de e-mails met bijlages die zogenaamd van banken afkomstig zijn of spelletjes die men
van het internet kan downloaden.
Een trojan kan, bijvoorbeeld, een keylogger22 functie hebben, waardoor alles wat de klanten
op hun PC’s intypen naar derden wordt doorgestuurd. Het aantal ‘banker trojans’, malware
die speciaal ontwikkeld is om bankgegevens te stelen, neemt explosief toe. Zo werden er in
2007 maar liefst 88.165 soorten ontdekt – een toename van 463% ten opzichte van 2006 [4].
Man-In-The-Browser aanval
Een nieuwe vorm van een trojan aanval is de Man-In-The-Browser (MITB) aanval. Hierbij zal
een trojan de transactiegegevens veranderen, voordat deze worden versleuteld en voordat
deze via het internet naar de banken worden verstuurd. De klanten zullen niets van deze
aanval merken omdat de transactiegegevens of challenges die door de banken worden
teruggestuurd door de trojan worden aangepast, voordat deze op het scherm worden
getoond aan de klanten [39].
Een voorbeeld van een trojan aanval is een aanval op de Zweedse bank Nordea. Hierbij
werden klanten van de bank gevraagd een anti-spam programma te downloaden.
Ongemerkt hadden de klanten een programma gedownload die de gebruikers naar een
nepwebsite doorstuurde wanneer zij probeerden in te loggen op de website van Nordea.
Hierbij werden de inloggegevens vanaf de PC’s onderschept en doorgestuurd naar derden
die deze gegevens gebruikten op de bonafide website. Op deze manier werden 250 klanten
gedupeerd. De fraude werd pas na 15 maanden ontdekt en nadat ongeveer 750 duizend
EUR waren weggesluisd [40].
21
Een trojan kan een PC veranderen in een ‘bot’. Dit houdt in dat derden de PC kunnen beheersen.
Een keylogger is een programma die alles wat er getypt wordt registreert. Uit deze gegevens kunnen vaak de
gebruikte website, gebruikersnamen en wachtwoorden worden verkregen. Een keylogger is een daarmee een
spyware, m.a.w. een programma die gebruikt wordt om te spioneren.
22
Pagina 19 van 35
Scriptie “Veiligheid internetbankieren”
Hoofdstuk 5
April 2008
Maatregelen tegen fraude met internetbankieren
Banken in de EU gebruiken de richtlijnen van ECBS om zo de veiligheid van het
internetbankieren te kunnen verhogen (zie ook hoofdstuk 3). De veiligheidsmaatregelen zijn
zowel technisch als procesmatig van aard. In paragrafen 5.1 en 5.2 worden de
veiligheidsmaatregelen beschreven, die nu door de bekeken banken worden toegepast. In
paragraaf 5.3 worden enkele alternatieve maatregelen besproken die nu door geen van de
bekeken banken zijn getroffen.
5.1
Logische beveiligingsmaatregelen voor het internetbankieren
Hieronder volgen de algemene beveiligingsmethoden voor het internetbankieren. Voor het
onderzoek zijn acht banken bekeken die het internetbankieren als een service op de
Nederlandse markt aanbieden. Hierbij is via interviews vastgesteld dat er minimaal aan de
ECBS-eisen voor encryptie en hashing is voldaan door ABN Amro, ING NL, Postbank en
ING e-bank Voor het onderzoek zijn deze uitspraken verder niet via steekproeven
geverifieerd. Verder is vanwege de tijdspanne van het onderzoek dezelfde vaststelling niet
gedaan voor de overige vier banken.
Methode
Gebruikers- TAN
PIN-pas
Smartcard GepersoCertifiper bank
naam en
met emet
naliseerde
caten
wachtwoord
dentifier
publieke
calculator
(website)
en
sleutel24
met PIN25
sleutel23
26
ABN AMRO Ja
Nee
Ja
Nee
Nee
Ja
Fortis
Ja27
Nee
Ja
Nee
Nee
Ja
Rabobank
Ja28
Nee
Ja
Nee
Nee
Ja
DSB
Ja29
Ja30
Ja31
Nee
Nee
Ja
SNS
Ja32
Nee
Nee
Nee
Ja33
Ja
ING - 1
Ja34
Nee
Nee
Nee
Ja
Ja
Postbank
Ja
Ja35
Nee
Nee
Nee
Ja
36
ING - 2
Ja
Nee
Nee
Ja
Nee
Ja
23
SSL
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
De PIN-pas en de e-dentifier vormen één geheel. Voor het gebruik van de e-dentifier zal de gebruiker de PIN
code van de PIN-pas moeten invoeren.
24
Smartcard en een PIN-pas lijken op elkaar maar een smartcard heeft meestal geen magneetstrip.
25
De gepersonaliseerde calculatoren worden gebruikt om de challenges van de websites te vertalen naar een
autorisatiecode die dan als antwoord op de website ingevuld moet worden. Deze antwoorden zullen in het
vervolg van de scriptie responses worden genoemd. Hetzelfde geldt ook voor het gebruik van e-dentifiers en
smartcards.
26
Hier hebben rekeningnummer en het pasnummer de functie van de gebruikersnaam en wachtwoord
27
Hier hebben rekeningnummer en het pasnummer de functie van de gebruikersnaam en wachtwoord
28
Hier heeft het rekeningnummer de functie van gebruikersnaam. Er is geen aparte wachtwoord nodig.
29
Voor de spaarrekeningen wordt er gebruikt gemaakt van gebruikersnamen en wachtwoorden. Dit geldt niet
voor de betaalrekeningen
30
Bij spaarrekeningen worden de TANs gebuikt voor het bevestigen van transacties. De spaarrekeningen zijn
gekoppeld aan een vaste tegenrekening. Wijzigingen van de tegenrekening kan alleen via schriftelijke aanvragen.
31
Dit wordt alleen gebruikt voor betaalrekeningen bij deze bank.
32
Voor de spaarrekening heeft het rekeningnummer de functie van de gebruikersnaam. Dit wordt in combinatie
met een wachtwoord gebruikt. Voor de betaalrekening wordt gebruik gemaakt van het serienummer van de
gepersonaliseerde calculator als gebruikersnaam. Voor het inloggen is dan geen wachtwoord nodig.
33
De gepersonaliseerde calculator wordt gebruikt voor de betaalrekeningen.
34
Hier wordt een gebruikersnaam gebruikt in combinatie met een wachtwoord die via een challenge moet
worden uitgerekend via de calculator.
35
De TAN’s kunnen per batch aangevraagd worden en worden dan in lijsten aangeleverd. Ook kan er voor
gekozen worden om per individuele transactie een TAN aan te vragen. De TAN wordt dan via sms verstuurd
naar de klanten.
Pagina 20 van 35
Scriptie “Veiligheid internetbankieren”
April 2008
Gebruikersnaam en wachtwoord
Banken gebruiken de combinatie van gebruikersnaam en wachtwoord als een eerste
controle (ter de identificatie van de klanten). Alleen bij Postbank, ING-2 en de DSB
(spaarrekeningen) en bij ING-2 is deze combinatie van gebruikersnaam en wachtwoord in
haar zuivere vorm gebruikt. Bij de andere banken zijn het geen echte gebruikersnamen of
wachtwoorden. Deze banken gebruiken hiervoor in de plaats de cijferreeksen die vermeld
zijn op de bankpassen of, in geval van de SNS bank op de calculator.
Wachtwoorden, pincodes en bankpassen worden in Nederland apart verstuurd. Hierbij
worden de pincodes in speciale enveloppen verstuurd, die bij het openen onherstelbaar
worden beschadigd. Bankpassen moeten met vertoon van een geldig identificatiebewijs bij
een bankfiliaal worden geactiveerd. De enige uitzondering is de DSB bank die geen
uitgebreide netwerk heeft van filialen. De DSB stuurt de bankpassen naar de klanten met
antwoordstroken. Klanten moeten deze dan stroken ondertekenen en terugsturen. De DSB
zal bij ontvangst de handtekening controleren. Bij een positief resultaat zal de DSB de PIN
samen met een e-dentifier naar de klanten sturen37.
Transaction Authentication Number (TAN)
De TAN wordt alleen gebruikt bij de Postbank en de DSB38. Hierbij wordt voldaan aan de
richtlijn van de ECBS waarin wordt aangeraden TAN’s te gebruiken van minimaal 4
posities39. De TAN’s worden gebruikt voor het autoriseren van transacties of voor het
autoriseren van automatische overboekingen. Voorheen gebruikten klanten TAN’s op een
vaste volgorde (van een lijst met TAN’s). Tegenwoordig moeten TAN’s op een willekeurige
volgorde gebruikt worden40. TAN-lijsten worden via ongemerkte enveloppen naar de klanten
gestuurd. Maar de klanten kunnen er ook voor kiezen de TAN’s bij elke autorisatie opnieuw
te laten genereren en deze te ontvangen via SMS.
PIN-pas met e-dentifier (met geheime sleutel)
Voor elke transactie of overboeking berekent de website voor het internetbankieren een
challenge van 8 cijfers. Deze challenge is zichtbaar voor de klanten. De website geeft dan
ook duidelijk aan waar de response van 6 cijfers moet worden ingevuld. De PIN-pas in
combinatie met een e-dentifier41 is dan noodzakelijk om deze response te berekenen. Om dit
te kunnen doen, moeten de klanten de e-dentifier eerst activeren door hun PIN-pas in de edentifier te schuiven. De activering is compleet als zij ook de juiste PIN42 op de e-dentifier
invoeren. Na het invoeren van challenge op de e-dentifier zal de e-dentifier de response
berekenen en tonen op zijn display.
Aan de bank kant zijn de rekeningnummers, de geheime sleutel en de challenge43. Dit geldt
alleen voor het autoriseren van transacties en niet bij het inloggen bekend. De response die
de klanten op de website invoeren, worden met de voorberekende response vergeleken. Bij
een positief resultaat zal de transactie worden uitgevoerd.
36
De gebruikersnaam en het wachtwoord zijn nodig om in te kunnen loggen op de website voor het
internetbankieren
37
Bij het aanvragen van een rekening hebben de klanten hun adresgegevens en identiteitsbewijzen met
handtekening naar de DSB moeten opsturen. Deze gegevens moeten ook bij de andere banken vooraf geleverd
worden.
38
Bij de DSB bank worden TAN’s alleen gebruikt voor het autoriseren van transacties op de spaarrekening.
39
TAN’s bestaan uit 6 cijfers.
40
De TAN’s op de lijst zijn genummerd. Klanten worden op basis van deze nummering gevraagd de
bijbehorende TAN’s in te vullen. De volgorde van opvragen is daarbij willekeurig.
41
Hetzelfde apparaat heeft verschillende namen. Bij de ABN Amro heet het een e-dentifier en bij de DSB de
digi-p. In deze scriptie zal de naam e-dentifier worden gehanteerd.
42
Dit is de PIN van de van de PIN-pas. Na drie foute pogingen zal de PIN-pas geblokkeerd worden voor de edentifier en de chipbetalingen. Er kan nog wel gepind worden met dezelfde PIN-pas. En na 3 foute pogingen om
de PIN in te voeren bij het pinnen, zal de PIN-pas ook geblokkeerd worden voor het pinnen.
43
Een challenge wordt berekend op basis van, bijvoorbeeld, de tegenrekeningen en de bedragen.
Pagina 21 van 35
Scriptie “Veiligheid internetbankieren”
April 2008
De challenge en de reponse bestaan respectievelijk uit 8 en 6 cijfers. Dit houdt in dat er
meerdere challenges mogelijk zijn die dezelfde response opleveren. Dit is een algemeen
bekend en geaccepteerd risico voor de onweerlegbaarheid van transacties. De challenge in
combinatie met de response kan verder als een sleutel worden gebruikt om de
transactiedetails te versleutelen44 (zie ook figuur 12).
Challenge
PIN
2
PIN-pas
1
Inhoud:
Bankrekeningnummer, PIN, telling
aantal foute keren PIN, secret key
(key kan ook in e-dentifier)
3
4
E-dentifier
Activering na
invoeren pas met
PIN
Response
Processen binnen de e-dentifier
versleutelde
waarde
rekeningnummer
3-DES berekening
response
3-DES berekening
challenge
secret key
Figuur 12 - PIN-pas met e-dentifier
Bij de Rabobank moet via een lettercode op de e-dentifier ook aangegeven worden welke
berekeningsmethode moet worden gebruikt (wat impliceert dat er twee sleutels gebruikt
worden). De e-dentifier is een generieke token die door alle klanten van dezelfde bank
kunnen worden gebruikt. Deze e-dentifiers zijn onbruikbaar zodra deze worden
opengemaakt of aangepast.
Figuur 13 - PIN-pas met e-dentifier
Smartcard met PIN
De werking van de smartcard met PIN is vergelijkbaar met die van de PIN-pas met een edentifier. Voor het gebruiken van de smartcard moet er een cardreader gebruikt worden die
via USB met de PC is verbonden. De smartcard met een PIN45 moet worden geactiveerd via
44
De challenge en de response samen zijn 14 cijfers. Dit kan gebruikt worden als een 112 (14x8) bits sleutel.
Dit is niet de PIN van de PIN-pas maar een speciale PIN die hoort bij de smartcard. Verder kan het zijn dat er
een privé sleutel op de smartcard is opgeslagen voor gebruik als een elektronische handtekening.
45
Pagina 22 van 35
Scriptie “Veiligheid internetbankieren”
April 2008
het invoeren van een PIN. Dit kan gebeuren via de website of via de cardreader. Voor het
autoriseren van een transactie of een overboeking wordt gecontroleerd of de smartcard op
de PC is aangesloten en wordt de smartcard afgelezen. Deze smartcards worden bij
distributie behandeld als bankpassen.
Figuur 14 - smartcard met reader
Gepersonaliseerde calculatoren
De werking van de gepersonaliseerde calculatoren is vergelijkbaar met die van de PIN-pas
met een e-dentifier. Een e-dentifier wordt in feite gepersonaliseerd op het moment dat het
wordt geactiveerd met de PIN-pas. Bij de gepersonaliseerde calculator wordt het gebruik van
de PIN-pas overgeslagen. Wel moet ook de gepersonaliseerde calculatoren met een PIN
worden geactiveerd. Het berekenen van de responses gebeurt op vergelijkbare manier als bij
de PIN-pas met e-dentifier. De gepersonaliseerde calculatoren zijn aan de bankrekeningen
gekoppeld en worden bij distributie ook behandeld als bankpassen.
Bij ING-1 moet via een lettercode op de calculator ook aangegeven worden welke
berekeningsmethode moet worden gebruikt (wat impliceert dat er twee sleutels gebruikt
worden). Een voor het inloggen en een andere voor het autoriseren van transacties.
Certificaten
Via certificaten die de CA’s uitgegeven aan websites kunnen klanten met enige zekerheid de
website authenticeren. De certificaten worden zichtbaar door op de slot-icoon te clicken die
op de websites zichtbaar zijn.
Figuur 15 - voorbeeld website certificaat
SSL
Via SSL kunnen banken de communicatie met de klanten kanaliseren, waarbij ook een
bepaalde manier van encryptie en hashing kan worden afgedwongen (zie ook hoofdstuk 3).
SSL kan, onder andere, herkend worden via de URL van de website die dan begint met
‘https://’.
Pagina 23 van 35
Scriptie “Veiligheid internetbankieren”
5.2
April 2008
Soft controls
Hieronder vallen alle maatregelen waarmee de klanten bewust worden gemaakt van de
gevaren van het internetbankieren. Dit is ook een richtlijn die vanuit de ECBS aan de banken
wordt meegegeven. Hieronder volgen enkele voorbeelden:
Voorlichting vanuit de branchevereniging
De NVB heeft een tweetal websites in het leven geroepen, waarmee de Nederlandse klanten
van het internetbankieren bewust worden gemaakt van de veiligheidsmaatregelen. Hierbij
worden de klanten geadviseerd over wat zij zelf kunnen doen om de eigen veiligheid bij het
internetbankieren te vergroten. Deze websites zijn:
• http://www.veiligbankieren.nl/index.php?p=17165;
• http://www.3xkloppen.nl/
Van deze twee websites is de website voor ‘3x kloppen’ het meest bekende omdat deze ook
via de TV en de radio was gepromoot (anno 2007/2008).
Voorlichting vanuit de individuele banken
Banken proberen ook via hun eigen websites haar klanten te wijzen op potentiële gevaren
van het internetbankieren. Dit doen ze door haar klanten in te lichten over de kenmerken van
de eigen websites46. Bij aanvallen op de eigen klanten zullen de relevante banken deze
aanvallen ook specifiek benoemen. Dit is bijvoorbeeld gebeurd bij www.Postbank.nl die in
september 2007 haar klanten waarschuwde voor een virus die erop gericht was de TAN’s te
achterhalen.
Figuur 16 - waarschuwing op website voor aanvallen
Ook is het al voorgekomen dat banken haar klanten de toegang tot de website voor het
internetbankieren weigeren op basis van de door de klanten gebruikte web browser [41].
46
Deze kenmerken worden ook op de NVB websites aangegeven.
Pagina 24 van 35
Scriptie “Veiligheid internetbankieren”
April 2008
5.3
Alternatieve veiligheidsmaatregelen [17]/[13]
Hieronder volgen enkele alternatieve veiligheidsmaatregelen die door geen van de bekeken
banken zijn genomen.
Speciale PC’s voor de klanten van het internetbankieren
Het doel van deze maatregel is om het veiligheidsniveau van de PC’s van de klanten te
beheersen. Een groot gevaar voor het internetbankieren is namelijk het gebruik van trojans
door de criminelen. Dit gevaar kan voor een groot deel gemitigeerd worden wanneer de
klanten speciale PC’s gebruiken die alleen geschikt zijn voor het internetbankieren met hun
banken. Deze PC’s moeten technisch dan zo in elkaar zitten dat hierop geen andere
software kan worden geïnstalleerd dan de software van de banken zelf. Dit is een kostbare
maatregel voor de banken, omdat de banken verantwoordelijk zijn voor de configuratie van
de PC’s en voor het updaten van de software op deze PC’s. Maar bovenal zullen de PC’s
zelf niet goedkoop zijn.
Speciale software voor de klanten van het internetbankieren
Ook hier is het doel van de maatregel om het veiligheidsniveau van de PC’s van de klanten
te beheersen. Onder speciale software vallen het besturingssysteem en de web browser.
Banken kunnen de klanten voorzien van de juiste software die dan elke keer gebruikt moet
worden wanneer men gaan internetbankieren. Om te voorkomen dat deze software in
verloop van tijd door criminelen op afstand wordt aangepast, kunnen de banken deze
software via een read-only ‘live-CD’ aanbieden. Een dergelijk CD-rom heeft een eigen
besturingssysteem en een eigen web browser, die noodzakelijk zijn voor het
internetbankieren. Om deze software te gebruiken moeten de klanten hun PC’s wel opnieuw
opstarten met deze CD. Ook dit is een kostbare maatregel, hoewel het goedkoper is dan de
alternatieve maatregel met de speciale PC’s. Deze maatregel is verder ook niet
gebruikersvriendelijk omdat de klanten voor en na het internetbankieren hun PC’s opnieuw
op moeten starten.
Dongle / speciale smartcardreader
Dit is een speciaal apparaat die de transactiegegevens onafhankelijk van de PC’s van de
klanten kunnen versleutelen. Dit is een smartcardreader met een extra grote display waarop
alle transactiedetails worden getoond. Deze smartcardreader is via een USB verbonden met
de PC’s van de klanten. De monitor van de PC wordt in principe niet meer gebruikt voor het
bekijken van details van de transacties of overboekingen. De smartcardreader toont naast de
bedragen ook de rekeningnummers en namen van begunstigden. Als de klanten met de
details akkoord gaan, worden deze details door de smartcardreader versleuteld en via de
PC’s en het internet naar de banken gestuurd. Deze smartcardreader is relatief makkelijk in
te voeren, omdat de technologie een kleine uitbreiding is van wat nu al wordt gebruikt via de
e-dentifier en de smarcard. Verder kunnen de ECBS en NVB richtlijnen voor de e-dentifiers
en de smartcards ook worden gebruikt voor deze uitgebreide smartcardreaders.
Bevestiging van transacties en automatische overboekingen
Omdat er steeds minder rekeningafschriften naar de klanten worden verstuurd en omdat
klanten niet geregeld hun afschriften controleren via de website voor het internetbankieren47,
kunnen banken ervoor kiezen hun klanten op een andere manier in te lichten. Zo kunnen de
banken een bevestiging naar haar klanten sturen na het uitvoeren van een transactie of na
het doorvoeren van verandering van een automatische overboeking. Dit kan gebeuren via
een sms of via een e-mail. Het laatste is steeds meer een optie geworden, omdat mobiel
internetten en e-mailen meer en meer gemeengoed is geworden.
47
Contractueel moeten de klanten ook van hun kant de juistheid van de overzichten controleren.
Pagina 25 van 35
Scriptie “Veiligheid internetbankieren”
Hoofdstuk 6
April 2008
Evaluatie veiligheidsmaatregelen
In dit hoofdstuk wordt ingegaan op de zwakke punten van de veiligheidsmaatregelen bij het
internetbankieren.
6.1
Maatregelen in praktijk en evaluatie
Hier volgen de veiligheidsmaatregelen die banken kunnen nemen ten behoeve van de
veiligheid van het internetbankieren. De Nederlandse banken gebruiken een combinatie van
de volgende maatregelen:
Legenda:
Effectief
Niet effectief
vs. Gevaar
Maatregel
Gebruikersnaam en
wachtwoord
TAN
Pinpas met
e-dentifier
Smartcard
met sleutel
Gepersonaliseerde
calculator
Certificaten
(websites)
Secured Socket Layer
Voorlichting geven
aan de klanten
Alternatief 1:
Speciale PC’s
Alternatief 2:
Speciale software
Alternatief 3:
Dongle / speciale
smartcards
Alternatief 4:
Bevestiging via sms
ECBS richtlijn 1:
2-factor authenticatie
ECBS richtlijn 2:
3-DES met 112 bits
ECBS richtlijn 3:
SHA-1
ECBS richtlijn 4:
MAC met 112 bits
ECBS richtlijn 5:
RSA met 1024 bits
ECBS richtlijn 6:
Certificaten x.509-v3
Man-inthemiddle
Redirection
URL
disguising
Pharming
Trojan /
Man-InTheBrowser
5
1
2
3
4
6
11
7
12
8
13
9
14
10
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
Pagina 26 van 35
Scriptie “Veiligheid internetbankieren”
April 2008
Voor elke maatregel is hieronder beschreven hoe effectief het is tegen de bekende gevaren
van het internet (zie ook hoofdstuk 4 en 5):
Veldnummer
1 t/m 5
6 t/m 10
11 t/m 25
26 t/m 30
31 t/m 35
48
Beschrijving van de effectiviteit
Het gebruik van gebruikersnaam en wachtwoord is niet effectief tegen de
genoemde gevaren. Zowel de klanten als de banken hebben met deze
maatregel niet de zekerheid dat zij met elkaar communiceren. De gegevens
kunnen via alle van de aangegeven gevaren in de handen van criminelen
belanden.
Het gebruik van TAN is niet effectief tegen de genoemde gevaren. De TAN’s
kunnen via alle aangegeven gevaren in de handen van de criminelen
belanden. Vooral via het gebruik van nepwebsites kunnen de TAN’s worden
bemachtigd, waarbij malafide transacties kunnen worden goedgekeurd
(veldnummers 6, 7, 8 en 9). Via trojans kunnen de transactiedetails voor het
versleutelen en voor het verlaten van de PC worden aangepast, zodat de
klanten de verandering niet zien. Klanten denken dan hun ingevoerde
transactie goed te keuren en geven hun TAN af voor autorisatie van de
malafide transactie (veldnummer 10).
Het gebruik van e-dentifiers met PIN-passen, smartcards en
gepersonaliseerde calculatoren is niet effectief tegen de genoemde gevaren.
Met deze maatregelen kan niet worden voorkomen dat de transacties via
nepwebsites verlopen. Challenges worden weliswaar berekend op basis van
de bedragen en rekeningnummers van begunstigden, maar de klanten
kunnen niet zien of de challenges horen bij de transactiegegevens die zij
invoeren. Klanten zullen de responses berekenen in de veronderstelling de
eigen transacties te accorderen. Via trojans kunnen de transactiedetails voor
het versleutelen en voor het verlaten van de PC worden aangepast zodat de
klanten de verandering niet zien (veldnummers 15, 20 en 25). Verder zijn er
steeds meer trojans die de 2-factor authenticatie kunnen omzeilen [42].
Het gebruik van certificaten is effectief tegen de genoemde gevaren met
nepwebsites. Het is niet effectief tegen aanvallen met trojans. Via
certificering van de bonafide websites geven de banken haar klanten de
zekerheid dat de websites te vertrouwen zijn (veldnummers 26, 27, 28, en
29). Maar feit is ook dat de meeste klanten niet weten wanneer een
certificaat in orde is. Ook nepwebsites met vergelijkbare internetadressen als
de bonafide websites kunnen gecertificeerd worden. De klanten moeten met
deze maatregel wel worden geïnformeerd over de kenmerken van de
certificaten van de bonafide websites (bijvoorbeeld welke internetadressen
worden door welke banken gebruikt). Verder kunnen de transactiedetails via
trojans voor het versleutelen en voor het verlaten van de PC worden
aangepast zodat de klanten de verandering niet zien (veldnummer 30).
Het gebruik van SSL is effectief tegen de aanvallen waarbij er een
nepwebsite wordt gebruikt (veldnummers 31, 32, 33 en 34). SSL is vooral
effectief voor de authenticatie van de webserver en de klant over en weer.
Verder is SSL vooral effectief voor het versleutelen van de communicatie.
(met de juiste versleutelmethode en sleutellengte48). Criminelen kunnen nog
steeds wel de data van en naar de bonafide website aanpassen. SSL is
namelijk niet effectief tegen aanvallen met trojans (veldnummer 35). Via een
trojan-aanval kan de data namelijk al worden aangepast voordat deze
versleuteld de PC verlaat. SSL is vooral effectief in het waarborgen van de
integriteit van de data die door de klanten en banken naar elkaar versturen
[43].
Zie hoofdstuk 3 voor de versleutelmethode en de sleutellengte die door ECBS worden aanbevolen.
Pagina 27 van 35
Scriptie “Veiligheid internetbankieren”
Veldnummer
36 t/m 40
41 t/m 50
51 t/m 55
56 t/m 60
61 t/m 65
66 t/m 70
71 t/m 75
76 t/m 80
April 2008
Beschrijving van de effectiviteit
Het gebruik van voorlichting aan de klanten is niet effectief tegen de
genoemde gevaren. Klanten blijven zelf verantwoordelijk voor de
maatregelen die zij kunnen treffen. Gemakzucht en onwetendheid kunnen de
voorlichting teniet doen.
Het gebruik van speciale PC’s en speciale software is effectief tegen de
gevaren, waarbij de klanten onbewust naar een nepwebsite worden
doorgestuurd. Immers deze zouden met de juiste IP adressen uitgerust
kunnen rusten, waardoor de gebruikers niet naar de nepwebsites kunnen
worden doorgestuurd (veldnummers 41 t/m 44 en 46 t/m 49). Het is ook
effectief tegen aanvallen met trojans, omdat deze niet geïnstalleerd kunnen
worden (veldnummers 45 en 50). Het nadeel van deze maatregelen is dat
deze erg kostbaar zijn.
Het gebruik van een speciale smartcardreader (een soort van Dongle) van
waaruit de transactiedetails worden bevestigd en worden versleuteld, is
effectief tegen de genoemde gevaren. Het gebruik van deze
smartcardreaders zorgt ervoor dat de transactiegegevens niet meer kan
worden gemanipuleerd. En wanneer de klanten de challenges in de
smartcardreader invoeren zullen de malafide challenges worden herkend.
Deze passen namelijk niet bij de ingevoerde transactiegegevens die de
klanten ook op de display van de reader kunnen zien.
Het gebruik van sms-en of e-mails ter bevestiging van gedane transacties is
een maatregel die vooral nuttig is voor het beperken van eventuele schade.
Als de klanten de berichten niet goed bijhouden, kan er nog steeds fraude
met succes plaats vinden. Verder is het niet met alle landen/banken mogelijk
gedane transacties ongedaan te maken. Vooral in het laatste geval is een
reactie achteraf, hoe snel ook, niet effectief tegen alle genoemde gevaren.
Het gebruikt van 2-factor authenticatie is niet effectief tegen alle genoemde
gevaren. Klanten kunnen via nepwebsites malafide transacties toch nog
autoriseren. De klanten zullen denken dat ze met de bonafide website
communiceren en de banken zullen denken dat ze met haar klanten
communiceren. De data die via de nepwebsites worden opgevangen worden
namelijk door derden op de bonafide websites gebruikt voor het autoriseren
van aangepaste transacties. Verder is tegenwoordig een groeiend aantal
trojans die in staat zijn deze authenticatiemethode te verslaan [42].
Het gebruik van 3-DES met 112 bits is tot nu toe nog niet te kraken binnen
de geldigheidstermijn van een challenge, die 15 tot 20 minuten bedraagt.
Maar toch is deze maatregel niet effectief tegen de genoemde gevaren.
Klanten kunnen via nepwebsites malafide transacties toch nog autoriseren.
De klanten zullen denken dat ze met de bonafide website communiceren en
de banken zullen denken dat ze met haar klanten communiceren
(veldnummers 66, 67, 68 en 69). De data die via de nepwebsites worden
opgevangen worden namelijk door derden op de bonafide websites gebruikt
voor het autoriseren van aangepaste transacties. Verder kunnen trojans de
transactiedetails voor het verlaten van de PC en voor het versleutelen
aanpassen zodat de klanten de veranderingen niet zien (veldnummer 70).
Het gebruik van SHA-1 voor hashing is niet effectief tegen de genoemde
gevaren, omdat deze methode al in 2005 is gekraakt [44]. Er gelden hier
dezelfde opmerkingen die voor veldnummers 66 t/m 70 zijn genoemd.
Het gebruik van MAC voor hashing met een 112 bits sleutel is niet effectief
tegen de genoemde gevaren. Er gelden hier dezelfde opmerkingen die voor
veldnummers 66 t/m 70 zijn genoemd.
Pagina 28 van 35
Scriptie “Veiligheid internetbankieren”
Veldnummer
81 t/m 85
86 t/m 90
April 2008
Beschrijving van de effectiviteit
Het gebruik asymmetrische RSA encryptie met een 1024 bits sleutel is tot nu
toe nog niet te kraken binnen de geldigheidstermijn van een challenge, die
15 tot 20 minuten bedraagt. Het kraken van RSA met een sleutel van 1024
bits zal met de huidige technologie jaren duren [45]. Maar toch is deze
maatregel niet effectief tegen de genoemde gevaren. Er gelden hier dezelfde
opmerkingen die voor veldnummers 66 t/m 70 zijn genoemd.
Het gebruik van x.509 certificaten in combinatie met Microsoft Internet
Explorer is sinds 2002 niet veilig. Afgeleide certificaten blijken vervalst te
kunnen worden zodat er geen zekerheid meer was over de authenticiteit van
de gecertificeerde server/website. Sinds 2002 is er daarom versie 3 in
gebruik genomen. Van versie 3 zijn er geen bekende gevallen van een
succesvolle aanval waarbij het certificaat vervalst kon worden. Het gebruik
van x.509v3.0 certificaten is effectief tegen alle genoemde gevaren. Zie ook
de opmerkingen voor veldnummers 26 tot en met 29. NB: Een voorwaarde is
wel dat de klanten weten hoe de echte certificaten eruit zien en de moeite
nemen hiernaar te kijken.
Pagina 29 van 35
Scriptie “Veiligheid internetbankieren”
Hoofdstuk 7
7.1
April 2008
Conclusies en aanbevelingen
Conclusies
Voor het onderzoek naar de veiligheid van het internetbankieren is er gekeken naar
verschillende Nederlandse banken.
Huidige maatregelen (antwoord op subvragen 1 en 2)
Banken hebben een combinatie van de volgende maatregelen getroffen om de veiligheid van
haar klanten te garanderen:
1 Gebruikersnaam en wachtwoord voor een eerste identificatie;
2 TAN voor het accorderen van transacties;
3 Pinpas met e-dentifier voor een eerste/tweede identificatie en/of voor het accorderen van
transacties;
4 Smartcard met sleutel voor een tweede identificatie en/of voor het accorderen van
transacties;
5 Gepersonaliseerde calculator voor het accorderen van transacties;
6 Certificaten voor het authenticeren van de websites richting de klanten;
7 Secured Socket Layer voor het authenticeren van de klanten en van de bankerservers;
8 Voorlichting geven aan de klanten voor het voorkomen van bekende aanvallen.
Zie hoofdstuk 6 voor uitgebreide analyse van de zwakke punten van deze maatregelen (als
antwoord op subvraag 2 van dit onderzoek).
Alternatieve maatregelen die de banken nog niet gebruiken (antwoord op subvraag 1)
Tijdens het onderzoek zijn er een viertal alternatieve maatregelen geconstateerd die (nog
niet) door de bekeken banken zijn getroffen. Deze alternatieve maatregelen blijken redelijk
effectief te zijn tegen de bekende gevaren van het internetbankieren:
1 Het distribueren van speciale PC’s aan de klanten voor het garanderen van een minimaal
veiligheidsniveau aan de klantenzijde;
2 Het distribueren van read-only ‘live-CD’ met speciale software voor het garanderen van
een minimaal veiligheidsniveau aan de klantenzijde;
3 Het gebruik van een special smartcardreader voor het accorderen van de
transactiedetails op de display van dit apparaat. Het apparaat versleutelt de
transactiegegevens die de klanten op de display zien en sturen deze via de PC naar de
websites van de banken;
4 Het gebruik van sms-en en e-mails voor het informeren van de klanten over de
uitgevoerde transacties.
Punten ter beoordeling voor veiligheid (antwoord op subvraag 3)
Voor het beoordelen van de veiligheid van het internetbankieren, volgens de definities van
het onderzoek, dient minimaal gecontroleerd te worden dat er aan de ECBS richtlijnen zijn
voldaan. Deze zouden dan meegenomen moeten worden in een RCM. Zie bijlage 2 voor de
minimale controleactiviteiten in een RCM.
Huidige veiligheid (antwoord op subvraag 4 en hoofdvraag)
Banken bieden op het ogenblik voldoende veiligheid voor haar Nederlandse klanten binnen
de definities van dit onderzoek. De bekeken banken volgen de richtlijnen van ECBS
Een kanttekening is wel dat de huidige maatregelen niet effectief zijn tegen aanvallen met
trojans. Verder moet opgemerkt worden dat met alleen SSL geen integriteit van de data kan
worden gegarandeerd en dat met alleen 2-factor authenticatie de authenciteit van de
gebruiker en berichten niet gewaarborgd kan worden. Immers, er zijn steeds meer trojans die
deze manier van klant- en transactieauthenticatie kunnen verslaan [42]. De ECBS richtlijnen
Pagina 30 van 35
Scriptie “Veiligheid internetbankieren”
April 2008
lijken hiermee achterhaald. De zwakke punten van de andere gebruikte
veiligheidsmaatregelen en de alternatieve veiligheidsmaatregelen zijn beschreven in
hoofdstuk 6.
7.2
Aanbevelingen
1. Transport Socket Layer (TSL) is als opvolger van SSL al beschikbaar. Onderzocht moet
worden of banken met dit nieuwe protocol meer veiligheid kan bieden aan haar klanten
voor het internetbankieren. TSL zou een verbetering kunnen zijn voor de huidige
veiligheidsniveau;
2. Er moet worden voortdurend bekeken of de huidige standaard van encryptie/hashing nog
voldoende is. Dit kan door incidenten te onderzoeken en bij de eerste indicatie van
onvoldoende veiligheid de standaarden te verhogen. Gekozen kan ook worden om
nieuwe methoden voor encryptie/hashing steeds zo snel mogelijk in te voeren;
3. De alternatieve veiligheidsmaatregelen blijken redelijk goed bestand te zijn tegen de nu
bekende aanvallen. Vooral het gebruik van een speciale smartcardreader zal de
veiligheid aanzienlijk kunnen verbeteren omdat de veiligheid van het internetbankieren
niet meer afhangt van de beveiliging van de PC’s van de klanten. Het is daarom aan te
bevelen om te onderzoeken of kosten voor het invoeren van deze maatregelen opwegen
tegen de schadegevallen ten gevolge van fraude met internetbankieren.;
4. Op basis van dit onderzoek zal een combinatie van de volgende maatregelen de hoogste
veiligheid bieden voor de klanten:
a. SSL/TSL voor een veilige communicatielijn;
b. Certificaten voor een voldoende authenticatie van de websites; en
c. Een speciale smartcardreader voor voldoende encryptie en integriteit van de te
versturen data.
7.3
Persoonlijke reflectie
Voordat ik met dit onderzoek begon, had ik veel vertrouwen in de veiligheid van het
internetbankieren. Nu weet ik dat het internetbankieren weliswaar veilig is volgens de
definities van dit onderzoek, maar dat het in werkelijk niet is. De richtlijnen van de ECBS zijn
achterhaald en zou zo snel mogelijk moeten worden aangepast.
Kanttekening is wel dat de onderzochte banken relatief veilig zijn in vergelijking met de
banken buiten Europa. Tijdens dit onderzoek ben ik bijvoorbeeld te weten gekomen dat er
Amerikaanse banken zijn die vergelijkbare veiligheidsmaatregelen treffen als Microsoft voor
de hotmails. Misschien is de onveiligheid van de andere banken ook te beschouwen als een
soort veiligheidsmaatregel. Zolang je als bank weet, dat met het internetbankieren van
andere banken makkelijker te frauderen is, zal je als bank ook minder je best hoeven te
doen. Want ook voor de criminelen geldt een kosten-baten afweging.
Ik ben, als klant, met de nu getroffen veiligheidsmaatregelen niet beschermd tegen fraude
met een onbekende trojan. Voor het internetbankieren heb ik dan ook een speciale laptop
gekocht die ik alleen voor het internetbankieren gebruik. Voor al het andere internetgebruik,
zoals het e-mailen en chatten, gebruik ik mijn oude ‘vertrouwde’ desktop.
Pagina 31 van 35
Scriptie “Veiligheid internetbankieren”
April 2008
Bijlage 1 – Lijst van geïnterviewde specialisten
#
1
2
3
49
Naam49
Perry M.
Maarten van W.
Koc-Fai W.
Functie
Internetbanking specialist
Internetbanking specialist
Internetbanking specialist
Werkgever
ING
ABN AMRO
ING
Interview date
21 januari 2008
21 februari 2008
10 december 2007
Namen niet voluit genoemd vanwege privacy van betrokkenen
Pagina 32 van 35
Scriptie “Veiligheid internetbankieren”
April 2008
Bijlage 2 – Minimale controleactiviteiten in RCM
Doel van controle
Waarborgen van
vertrouwelijkheid
Waarborgen van
integriteit
Waarborging van
voldoende
identificatie en de
verificatie van
deze identificatie
Waarborgen van
identiteit van
afzender en / of de
uitgevoerde
transactie/opdracht
(non-repudiation).
Risico
Berichten kunnen
door derden worden
gelezen
Controleactiviteit
Verifieer dat er minimaal Triple-DES
algoritme met een sleutellengte van 112 bits
wordt gebruikt voor versleuteling en
ontcijferen van de berichten.
Verifieer dat de challenge van de websites
niet langer geldig is dan 15 tot 20 minuten.
Verifieer dat de sleutel voor versleuteling niet
dezelfde is als de sleutel voor de hash-functie
(zie hierna)
Berichten kunnen
Verifieer dat er minimaal SHA-1 als hash
door derden worden functie wordt gebruikt.
aangepast
Verifieer dat de challenge van de websites
niet langer geldig is dan 15 tot 20 minuten.
Verifieer dat de sleutel voor hash-functie niet
dezelfde is als de sleutel voor de
versleuteling (zie hiervoor)
Derden kunnen zich Verifieer dat bij een electronische
voordoen als
handtekening gebruik gemaakt wordt van
klanten van de bank RSA met een minimale sleutellengte van
en zo namens de
1024 bits.
klanten
Verifieer dat er minimaal SHA-1 als hash
betalingsopdrachten functie wordt gebruikt.
versturen.
Verifieer dat de publieke sleutels via
certificaten worden gedistribueerd.
Verifieer dat de apparaten, zoals de edentifiers, ´tamper proof’ of ‘tamper resistant
zijn en voldoen aan de richtlijnen van de
NVB.
Verifieer dat de challenge van de websites
niet langer geldig is dan 15 tot 20 minuten.
Verifieer dat de sleutel voor de hash-functie
niet ook voor de versleuteling wordt gebruikt
en andersom.
Er is garantie van
identiteit van
afzender en / of de
uitgevoerde
transactie/opdracht.
Verifieer dat alle bovenstaande
controleactiviteiten een positief resultaat
hebben opgeleverd.
Pagina 33 van 35
Scriptie “Veiligheid internetbankieren”
Doel van controle
Voorkomen van
fraude via website
internetbankieren
Risico
Derden kunnen
klanten, die
internetbankieren,
benadelen
April 2008
Controleactiviteit
Verifieer dat klanten goed op de hoogte
worden gehouden van incidenten met
fraudegevallen via de eigen websites.
Verifieer dat klanten goed op de hoogte
worden gehouden van de mogelijke
veiligheidsmaatregelen die zij zelf kunnen
nemen om fraude te voorkomen.
Verifieer dat SSL versie 3.0 gebruikt wordt
voor de communicatie tussen de banken en
haar klanten bij het internetbankieren. En
verifieer dat binnen de SSL minimaal 3-DES
(112 bits) gebuikt wordt voor encryptie en
SHA-1 voor hashing.
Als er TAN´s wordt gebruikt, verifieer dat
deze minimaal uit 4 posities bestaan en dat
deze willekeurig gegenereerd wordt. Verifieer
ook dat de website deze TAN´s op
willekeurige volgorde door de websites
opgevraagd worden.
Pagina 34 van 35
Out of
scope
Scriptie “Veiligheid internetbankieren”
April 2008
Bijlage 3 – Literatuurlijst
[1]
[2]
[3]
[4]
[5]
[6]
[7]
[8]
[9]
[10]
[11]
[12]
[13]
[15]
[16]
[14]
[17]
[18]
[19]
[20]
[21]
[23]
[24]
[25]
[26]
[27]
[28]
[29]
[30]
[31]
[32]
[33]
[34]
[35]
[36]
[37]
[38]
[39]
[40]
[41]
[42]
[43]
[44]
[45]
“Safer Internet Day”, 12 February 2008, EUROSTAT
http://www.dnb.nl/dnb/home/file/Kwartaalbericht%20compleet_tcm46-156016.pdf.
http://webwereld.nl/articles/48021/internetbankieren
http://www.pcmweb.nl/artikel.jsp?rubriek=1245127&id=2266143
“IS auditing guideline internet banking document G24”, May 2003, ISACA
“ECBS TR411”, Augustus 2004, ECBS
www.vandale.nl
http://nl.wikipedia.org/wiki/Veiligheid
http://www.nvb.nl/index.php?p=17970
“21A_Cryptography_v2”, januari 2007, Amand Veltmeijer (Vrije Universiteit AMS)
ISO 7498-2
“ECBS TR406”, September 2003, ECBS
Interview Perry M. / Koc-Fai W.
http://csrc.nist.gov/encryption/aes/
http://nl.wikipedia.org/wiki/RSA_%28cryptografie%29
ISO 13491 (Banking cryptographic devices) part 1
Interview Maarten van W.
ISO TC 68
ECBS TR402, oktober 1999, ECBS
http://www.pkioverheid.nl/over-pkioverheid/introductie-pki/
http://www.pkioverheid.nl/
ISO/IEC 9797-1
ISO/DIS 16609
http://en.wikipedia.org/wiki/HMAC
http://tldp.org/HOWTO/SSL-RedHat-HOWTO-2.html#ss2.2
http://nl.wikipedia.org/wiki/Secure_Sockets_Layer
http://en.wikipedia.org/wiki/Internet_protocol_suite
http://207.46.196.114/windowsserver/en/library/ed5ae700-e05e-45ef-b53645795dbb99a21033.mspx?mfr=true
“Defining Authentication Strength”, februari 2007, Gartner Research
http://www.contentverification.com/man-in-the-middle/index.html
http://i.i.com.com/cnwk.1d/html/itp/Phishing_whitepaper.pdf
http://www.contentverification.com/man-in-the-middle/index.html
http://www.veiligbankieren.nl/index.php?p=16695
http://www.security.nl/article/17328/1
http://www.dns.be/nl/home.php?n=46.001
http://palisade.plynt.com/issues/2006Mar/pharming/
http://www.microsoft.com/netherlands/thuisgebruikers/beveiliging/viruses/virus101.
mspx
http://www.owasp.org/index.php/Man-in-the-browser_attack
http://news.zdnet.co.uk/security/0,1000000189,39285547,00.htm?r=1
http://www.nu.nl/news/1418078/50/rss/Banken_sluiten_besmette_computers_af.ht
ml
http://www.security.nl/article/18313/1/Malware_maakt_gehakt_van_internetbankier
en.html
http://infolab.uvt.nl/~remijn/telematica/scripties00/groep17/praktijk.htm
http://www.webpronews.com/topnews/2005/02/21/sha-encryption-algorithmcracked
http://www.hackinthebox.org/modules.php?op=modload&name=News&file=article
&sid=23288
Pagina 35 van 35

Vergelijkbare documenten